¿Qué es una evaluación de impacto relativa a la protección de datos o EIPD?

1.- Definición de evaluación de impacto relativa a la protección de datos personales o EIPD (Data Protection Impact Assessment o DPIA, en inglés)

Una Evaluación de Impacto relativa a la Protección de Datos (en adelante, EIPD) puede definirse como un proceso de descripción minuciosa y un análisis detallado de un tratamiento de datos personales que ha sido considerado de alto riesgo.

Una Evaluación de Impacto relativa a la Protección de Datos o EIPD es un proceso de descripción minuciosa y un análisis detallado de un tratamiento de datos personales considerado de alto riesgo.

La EIPD no ha sido definida ni en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Reglamento General de Protección de Datos (en adelante, el RGPD), ni en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD). Sin embargo, su definición se desprende de los recursos publicados por organismos como el Comité Europeo de Protección de Datos (CEPD) o la Agencia Española de Protección de Datos (AEPD).

Una EIPD implica desmenuzar todos los aspectos que conforman el tratamiento examinado (las operaciones de tratamiento), desde los sujetos que intervienen en el proceso, hasta toda la tecnología implicada. Incluye, también, un juicio de necesidad y proporcionalidad del tratamiento y la proposición de medidas que mitiguen el riesgo lo máximo posible.

La siguiente imagen es una representación del proceso de EIPD y las partes de que se compone:

Fuente: Agencia Española de Protección de Datos (https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/evaluaciones-de-impacto)

El objetivo principal de la EIPD es detectar tratamiento de datos personales que se consideran de alto riesgo, controlarlos y mitigarlos, verificando así que el tratamiento puede llevarse a cabo. Pero, paralelamente, la realización de una EIPD también es una forma de demostrar el cumplimiento de las obligaciones del responsable del tratamiento en materia de protección de datos (principio de responsabilidad proactiva).

2.- Diferencia entre la EIPD y la gestión de riesgos

En la práctica, una EIPD se encuadra dentro del proceso que recibe el nombre de gestión de riesgos para los derechos y libertades de los interesados que, en resumidas cuentas, es un proceso de control similar al de la EIPD aunque con menor detalle y exhaustividad.

Desde el punto de vista del contenido, el mayor número de requisitos que implica la EIPD y su carácter más estricto es la principal diferencia entre esta y un proceso de gestión de riesgos. También lo es el hecho de incluir un juicio de necesidad y de proporcionalidad del tratamiento examinado en el caso de la EIPD.

En la siguiente tabla puede verse de forma gráfica el valor añadido que implica una EIPD respecto a la gestión de riesgos. El cuadro de la derecha recoge los elementos que la EIPD añade sobre los que ya contiene la gestión de riesgos:

Fuente: Agencia Española de Protección de Datos (Guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales).

3.- ¿Cuándo es obligatorio realizar una EIPD?

A pesar de lo expuesto, en el marco de un proceso de gestión de riesgos no siempre va a ser obligatoria una EIPD.

Es el artículo 35 del RGPD el que especifica los casos en que una EIPD es obligatoria:

Caso 1: Cuando sea probable que el tratamiento implique alto riesgo, en particular cuando se utilicen nuevas tecnologías (artículo 35.1 RGPD).

Caso 2: Cuando se de alguna de las siguientes circunstancias (artículo 35.3 RGPD):

a. Se hace una evaluación exhaustiva y sistemática de personas físicas de forma automatizada (un ejemplo de ello es la elaboración de perfiles), para tomar decisiones que tengan efectos jurídicos sobre los interesados o que les afecten de manera significativa.

b. Se lleva a cabo un tratamiento a gran escala de categorías especiales de datos personales o datos relativos a condenas e infracciones penales.

c. Observación sistemática a gran escala de una zona de acceso público.

Caso 3: Cuando la autoridad de control (que, en el caso de España, es la Agencia Española de Protección de Datos) haya publicado una lista sobre tratamientos que requieren EIPD, y el tratamiento coincida con los allí incluidos (artículo 35.4 RGPD).

Cabe tener en cuenta que las autoridades de control podrán también publicar listas de tratamientos excluidos a esta obligatoriedad (artículo 35.5 RGPD).

En el caso de la Agencia Española de Protección de Datos, se han publicado ambas listas:

–Lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (artículo 35.4 RGPD)

–Lista orientativa de tipos de tratamientos que no requieren una evaluación de impacto relativa a la protección de datos según el artículo 35.5 RGPD

4.- Ejemplos de tratamientos que requieren una EIPD

Son ejemplos de tratamientos que requieren una EIPD los siguientes:

El control de acceso de una persona a un edificio en el que vaya a ejercer un derecho, por parte de medios tecnológicos y sin la intervención de ninguna persona. Se trata del Caso 2 apartado a).
La implantación por parte de un hospital de una nueva base de datos que contiene la historia clínica de todos sus pacientes. Se trata del Caso 2 apartado b).
El uso de tecnología basada en inteligencia artificial por parte de un banco a la hora de decidir si se otorga un crédito a una persona o no. Se trata del Caso 1, así como del Caso 2 apartado a).
El control mediante videovigilancia por parte de una empresa sobre el comportamiento de sus trabajadores durante la jornada laboral. Caso 2, apartados b) y c), así como del Caso 3 por estar incluido este tratamiento en la Lista de tratamientos que requieren EIPD de la AEPD.

5.- ¿Cuándo es recomendable realizar una EIPD?

En ocasiones, aplicando la literalidad del analizado artículo 35 RGPD, puede no existir una obligación legal de llevar a cabo la EIPD, pero, atendiendo a las circunstancias del caso o a su naturaleza, puede ser recomendable.

El Grupo de Trabajo del Artículo 29 (actualmente, el CEPD) publicó en 2017 las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento “entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679. En ellas, se dice que “en los casos en los que no esté claro si se requiere una EIPD, el GT29 recomienda realizar una, ya que esta evaluación representa un instrumento práctico para ayudar a los responsables del tratamiento a cumplir la legislación de protección de datos”.

En la misma línea, la AEPD en su Guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, publicada en junio de 2021, afirma que “es importante tener en cuenta que, el hecho de que un tratamiento de datos personales no esté incluido en los supuestos obligados, no siempre implica que no sea necesario llevar a cabo la EIPD. El RGPD no limita la capacidad de decisión del responsable a la hora de decidir si esta se lleva a cabo o no. El RGPD viene a establecer un mecanismo de proactividad que permite al responsable decidir sobre la necesidad de llevar a cabo la EIPD en línea con los riesgos inherentes asociados al tratamiento en función de su naturaleza, alcance, contexto y finalidades”.

6.- Contenido mínimo de una EIPD

El apartado 7 del artículo 35 del RGPD es el que determina cuáles son los extremos que, como mínimo, debe recoger una evaluación de impacto:

a) una descripción sistemática de las operaciones de tratamiento y de los fines del tratamiento, incluyendo, en su caso, el interés legítimo en que se basa el tratamiento.

b) el citado juicio de necesidad y proporcionalidad del tratamiento, teniendo en cuenta su finalidad.

c) la valoración de los riesgos que supone el tratamiento para los interesados (este riesgo se calcula ponderando los valores de impacto y probabilidad de que ocurra el tratamiento).

PROBABILIDAD X IMPACTO = RIESGO

d) las medidas que se consideren aplicar para mitigar el anterior riesgo, así como para demostrar el cumplimiento de la normativa de protección de datos.

Finalmente, en el caso de que, aun tras la realización de la EIPD el resultado del riesgo sea «elevado», el responsable del tratamiento deberá realizar una consulta a la autoridad de control (la AEPD, en España) para poder llevar a cabo dicho tratamiento. En caso contrario, no podrá realizarse el tratamiento en cuestión.

7.- Base normativa de la EIPD

La principal regulación que el RGPD contiene en relación con la EIPD y la obligación de llevarla a cabo se encuentra en el reiterado artículo 35 RGPD.

Además, es necesario tener en cuenta los Considerandos 75, 76 84 y 90 del RGPD, que complementa el contenido del artículo 35.

Por su parte, el artículo 28.1 de la LOPDGDD incluye en la enumeración de obligaciones del responsable del tratamiento la de valorar la necesidad de si procede (o no) realizar una EIPD.

Pero si quieres profundizar más, continua leyendo

8.- La AEPD sobre la EIPD

La Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la AEPD, publicada en junio de 2021, es un recurso indispensable para profundizar y entender el proceso que implica una EIPD. En ella se explica tanto el proceso de gestión de riesgos, como el proceso de EIPD, así como la relación entre ambas herramientas y el contenido que incluye cada una de ellas. La guía proporciona plantillas relativas al contenido de determinadas partes de una EIPD, catálogos de amenazas que pueden derivarse del tratamiento de los datos personales, así como controles y medidas a establecerse con el fin de mitigar dichas amenazas.

Tenemos que resaltar que la Guía de la AEPD antes mencionada actualiza y unifica dos guías publicadas hace más tres años por la misma la AEPD.

Adicionalmente, es pertinente mencionar que la Autoridad Catalana de Protección de Datos ha publicado una Guía práctica sobre la evaluación de impacto relativa a la protección de datos junto con una plantilla descargable (1).

Por último, la AEPD ha puesto a disposición de todos los ciudadanos unas herramientas que sirven de punto de partida para todas aquellas pequeñas y medianas empresas que precisen llevar a cabo un proceso de gestión de riesgos y/o una EIPD:

GESTIONA-EIPD (2)
FACILITA-RGPD (3)
EVALÚA_RIESGO RGPD (4)

Para proteger debidamente tus datos personales o asegurarte de que tu empresa cumple debidamente con la exigente normativa europea sobre protección de datos personales, es imprescindible estar asesorado por abogados expertos en protección de datos.

Notas a pie de página:
(1)https://apdcat.gencat.cat/es/documentacio/guies_basiques/Guies-apdcat/Guia-sobre-la-evaluacion-de-impacto-relativa-a-la-proteccion-de-datos-en-el-RGPD/
(2)https://www.aepd.es/es/guias-y-herramientas/herramientas/gestiona-eipd
(3)https://www.aepd.es/es/guias-y-herramientas/herramientas/facilita-rgpd
(4)https://www.aepd.es/es/guias-y-herramientas/herramientas/evalua-riesgo-rgpd

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):

¿Cual es tu nombre?*
¿Cuál es tu correo electrónico?*
¿En qué ciudad te ubicas?*
¿Cuál es tu teléfono? (Con prefijo del país)
Escribe tu mensaje o formula tu consulta*
Política de Privacidad*
He leído y acepto la Política de Privacidad y Cookies de esta web.
Los datos que nos facilita el usuario a través este formulario se incorporarán a tratamientos cuyo responsable es ALGORITMO LEGAL con domicilio profesional en la calle Sicilia nº 210, 5º, 3ª, 08013 de Barcelona. Puedes contactarnos llamando al teléfono (+34) 931 404 381 o a través del correo electrónico info@algoritmolegal.com. La finalidad de recogida de datos en este formulario es poder contestar las consultas planteadas y enviar al usuario la información solicitada a través del correo electrónico o teléfono indicados en el formulario, así como proveer información comercial. Más detalles en nuestra Política de Privacidad y Cookies.
(*) Campo obligatorio
Introduce los caracteres que ves a continuación: